| yura3d |
Отправлено: 19 июня 2009 — 18:42 
|
ExBB Team
ExBB Developer
ExBB Mods Author
Покинул форум
Сообщений всего: 3394
Дата рег-ции: Февр. 2009
Откуда: Минск, Беларусь
Репутация: 353
|
mastersound пишет:Пока не всё, но уже (почти понятно))) Спасибо большое.  Как-то так получилось, что с изучением (  ) скриптов форума стал немного больше понимать взаимосвязи разных элементов при реализации всяких всякостей. Вы никогда (имею в виду Вас именно и всех, очень развитых умственно, Людей из поддержки форума) не отказывали в разрешении каких либо сложностей, с которыми мы сталкиваемся. Спасибо. Если что - удалите пост. может лишне))
Наоборот, очень приятно общаться с человеком, который помимо вопросов ещё и пытается самостоятельно разобраться  |
| |
|
| altjo |
Отправлено: 28 июня 2009 — 18:46
|
ExBB Skins Creator
Покинул форум
Сообщений всего: 277
Дата рег-ции: Февр. 2009
Репутация: 86
|
Хелп ми, плиз ) собственно интересует вопрос безопасности...
например, есть такая страница
CODE:<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML>
<HEAD>
<TITLE>New Document</TITLE>
<SCRIPT language=javascript>
<!--
function preview() {
var win = window.open("","","status=no,toolbar=no,menubar=no,scrollbars=yes,resizable=yes");
win.document.write('Бла-бла-бла'+document.frm.color.value+'Ля-ля-тополя');
win.document.close();
}
//-->
</SCRIPT>
</HEAD>
<BODY>
<FORM ACTION=blah-blah-blah method=post name=frm>
<B>Бла-бла-бла: </B> <INPUT TYPE=TEXT SIZE=15 NAME="color" maxlength=150 value="FFF"><br><br>
<INPUT TYPE=button VALUE="Превью" onclick="preview()">
</FORM>
</BODY>
</HTML>
стоит ли в этом случае фильтровать данные вводимые пользователем в текстовое поле, с помощью javascript?
т.е. если в поле вбить типа CODE:<script>alert(document.cookie)</script> то скрипт выполнится... собственно можно ли вписать в поле что-то, что будет опасным для сайта (в данном случае)?
Спасибо |
| |
|
| Furax |
Отправлено: 29 июня 2009 — 00:51
|
Newbie
Покинул форум
Сообщений всего: 49
Дата рег-ции: Февр. 2009
Репутация: 8
|
Опасными последствиями такой подход не грозит, потому что на сервер эти данные в любом случае не пойдут. Другое дело - "защиту от дурака" и впрямь можно предусмотреть - например, так:CODE:function preview() {
var color = document.frm.color.value.split('&').join('&').split('<').join('<').split('>').join('>').split('"').join('"');
var win = window.open("","","status=no,toolbar=no,menubar=no,scrollbars=yes,resizable=yes");
win.document.write('Бла-бла-бла'+color+'Ля-ля-тополя');
win.document.close();
} Кстати, такой способ обработки формы ужасно неудобен: при нажатии Enterа данные пойдут неизвестно куда. Лучше вместо button сделать тип кнопки submit, а вместо onclick для неё прописать onsubmit для формы - последний в этом случае должен возвращать false, чтобы форма не отправлялась. |
| |
|
| altjo |
Отправлено: 30 июня 2009 — 15:15
|
ExBB Skins Creator
Покинул форум
Сообщений всего: 277
Дата рег-ции: Февр. 2009
Репутация: 86
|
Furax пишет:Лучше вместо button сделать тип кнопки submit, а вместо onclick для неё прописать onsubmit для формы а если нужно две, три таких кнопки... пару кнопок Submit в одной форме это ничё?
Спасибо за идею, но мне как-то ближе первый вариант... причем именно такой подход используется в учебнике по JavaScript и в найденных мною примерах: в форме есть просто кнопка с onclick, который вызывает какую-то функцию (да и аффтор учебника не жаловался на такой метод :))...
Furax пишет:Другое дело - "защиту от дурака" и впрямь можно предусмотреть - например, так:
может быть... но я, пожалуй, просто заменю пару символов, которые можно ввести по ошибке, с помощью replace...
Furax пишет:при нажатии Enterа данные пойдут неизвестно куда как я понимаю речь идет о кнопке Submit, если её нету - то и нажатие Enter-а ни к чему не приводит.. |
| |
|
| altjo |
Отправлено: 1 июля 2009 — 13:05
|
ExBB Skins Creator
Покинул форум
Сообщений всего: 277
Дата рег-ции: Февр. 2009
Репутация: 86
|
Furax пишет:action="/" method="post"
немного не понял... если в форме нет кнопки Submit, зачем писать там action="/" method="post" ??? у меня нет в форме action и method, и усё работет  ...
Furax пишет:без проблем отправляется Enterом
не, у меня не отправляется... правда в Опере форма отправляется если я наведу мышку на кнопку инпут и нажму Ентер, в противном случае глухо как в танке (проверял в ИЕ, Опера и ФФ)...(Отредактировано автором: 1 июля 2009 — 13:06) |
| |
|
|
Сайт проекта ExBB
Чат на форуме
Помощь
Поиск
BanList
Без описания
